根CA管理规则/技术规范
为进一步增强金融IC卡交易的安全性,在PBOC2.0规范中引入了标准借记/贷记和电子现金应用的非对称密钥管理体系,用于交易流程中的脱机数据认证。PBOC2.0非对称密钥管理体系的核心是根CA,根CA负责生成和管理PBOC2.0借记/贷记和电子现金应用的根CA证书、负责签发发卡行CA证书等工作。2006年根CA系统建设完成,并由人民银行授权中国银联作为根CA公钥认证管理机构,承担规范和管理整个根CA认证体系的运行,由中国金融认证中心负责根CA系统的具体操作。
为安全、高效地对各家银行提供根CA公钥认证服务,中国银联制定了《金融IC卡借记记/贷记应用根CA公钥认证规范第1部分管理规则》和《金融IC卡借记贷记应用根CA公钥认证规范第2部分技术规范》,就商业银行申请根 CA公钥和发卡行公钥证书从管理流程和安全策略方面进行了规定,并对金融IC卡借记/贷记应用根CA公钥认证的技术要求和系统接口进行了详细说明。
7.3.1管理规则
管理规则对金融IC卡借记/贷记应用根CA公钥认证系统及服务在管理流程及安全策略方面的要求作了规定。
管理规定适用于金融IC卡借记/贷记应用根CA公钥认证的服务提供机构和服务接受机构,包括认证管理机构、接受认证服务的中国银联成员机构以及中国银联成员机构授权的代理机构。
金融IC卡借记/贷记应用公钥认证体系符合《中国金融集成电路(IC)卡规范》,为所有遵循该标准的金融IC卡借记/贷记提供公钥认证服务,也同时为其他金融IC卡数据认证提供途径(如商业银行终端提供的对内卡数据认证)。按照《中国金融集成电路(IC)卡规范》,金融IC卡借记/贷记应用公钥认证体系包括根CA、各发卡机构CA及其发行的银联标准金融IC卡、收单机构及其ATM和/或POS机。金融IC卡借记/贷记应用公钥认证系统使用公钥密码技术进行金融IC卡静态数据、动态数据或复合数据的生成及认证,以提供高度安全的金融IC卡交易认证服务。
金融IC卡借记/贷记应用公钥认证体系是一个独立的两层树状结构的PKI体系,以根CA为唯一信任顶点,以发卡机构用于签发银联标准借记/贷记应用的IC卡的CA作为根CA的下级CA。发卡机构用来签发银联标准借记/贷记应用IC卡的CA有义务接受根CA的公钥认证服务并成为根CA的下级CA。发卡机构CA可以采用不同方式建设和运行,比如自建并管理或服务外包等,但其系统及运行操作的规范性和安全性应遵从本标准的相关规定。
根CA是获得人民银行唯一授权,为我国金融机构提供银联标准IC卡借记/贷记应用公钥认证服务的系统,由中国银联统一管理并由中国金融认证中心运行,其系统和运营安全性符合国家的有关安全规范。根CA严格按照《中国金融集成电路(IC)卡规范》建设和运行。
中国银联向商业银行、第三方服务机构提供CA公钥证书认证服务。商业银行、第三方服务机构要接收CA公钥证书认证服务必须注册。中国银联可授权银联分公司受理审批本地商业银行或第三方服务机构的收单业务申请和监督管理工作。
7.3.2技术规范
技术规范对金融IC卡借记/贷记应用根CA公钥认证及服务在技术及系统接口方面的要求作了规定,包括金融IC卡借记/贷记应用公钥认证的脱机IC卡数据认证、根CA公钥文件、成员机构及第三方服务机构根CA公钥证书验证、发卡机构公钥输入文件、发卡机构公钥输入文件的验证、发卡机构公钥输出文件、发卡机构公钥证书验证等方面的内容。
技术规范适用于金融IC卡借记/贷记应用根CA公钥认证的服务提供机构和服务接受机构,包括认证管理机构、接受认证服务的中国银联成员机构以及中国银联成员机构授权的代理机构。
